Éviter d'infecter les smartphones via la recharge USB
Quel est le degré de sécurité des bornes de recharge pour smartphones disponibles gratuitement dans les aéroports, les bars ou les transports publics ? Les données stockées sur l'appareil seront-elles divulguées au monde extérieur au cours du processus ? Nos experts ont étudié ces questions et d'autres similaires dans le cadre d'une étude de faisabilité et sont arrivés à la conclusion que les smartphones peuvent être compromis pendant le processus de chargement via une connexion USB.
"Les pirates n'ont même pas besoin d'être hautement qualifiés pour mener une telle attaque", explique Alexey Komarov, chercheur en sécurité à Kaspersky Lab.
Dans l'étude de Kaspersky, un certain nombre de smartphones fonctionnant sous différents systèmes d'exploitation Android et iOS ont été examinés dans un premier temps pour déterminer quelles données l'appareil divulgue à l'extérieur pendant le processus de chargement avec un PC ou un Mac. Les résultats des tests le montrent : Les appareils mobiles révèlent - selon l'appareil et le fournisseur - une série de données à l'ordinateur, telles que le nom de l'appareil, le fabricant, le type d'appareil, le numéro de série, les informations sur le microprogramme et le système d'exploitation, le système de fichiers/la liste des fichiers et l'ID de la puce électronique.
Le problème de la sécurité : les smartphones - en tant que compagnon permanent - deviennent ainsi intéressants pour les tiers qui pourraient être intéressés par la collecte de telles données afin de les utiliser ensuite pour eux-mêmes.
"Les risques pour la sécurité sont évidents : les utilisateurs peuvent être suivis grâce à l'identification de leur appareil et le téléphone portable peut être infecté en secret. Les décideurs des grandes entreprises pourraient ainsi facilement devenir la cible de pirates informatiques professionnels", explique Alexey Komarov, chercheur en sécurité à Kaspersky Lab. "Les pirates n'ont même pas besoin d'être très compétents pour mener une telle attaque, car toutes les informations nécessaires sont faciles à trouver sur Internet".
Lors de la conférence Black Hat en 2014, il a déjà été démontré que les smartphones peuvent être infectés par un malware en le connectant à une fausse station de recharge. Les experts de Kaspersky Lab ont reproduit le scénario. Il suffisait d'un PC ordinaire, d'un câble micro USB standard et de quelques commandes spécifiques (AT command set). Cela a permis d'installer secrètement (via "re-flash") une application dite "root" sur un smartphone. Autrement dit, le smartphone a été compromis sans l'utilisation d'un programme malveillant.
Octobre rouge et Hacking Team comme exemples
Bien qu'aucune information sur les cas d'infection actuels par des stations de recharge fictives ne soit connue à ce jour, des vols de données sur des appareils mobiles connectés à des ordinateurs ont déjà eu lieu dans le passé. Cette technique a été utilisée, par exemple, dans la campagne de cyber-espionnage "Octobre rouge" ainsi que dans la "Hacking Team". Les deux acteurs de la menace ont trouvé un moyen d'exploiter pour eux-mêmes l'échange de données prétendument sécurisé entre le smartphone et le PC.
Pour minimiser le risque d'une éventuelle attaque par des stations de recharge inconnues et des ordinateurs non fiables, les utilisateurs devraient
- Utilisez uniquement des stations de recharge USB et des ordinateurs de confiance pour recharger l'appareil mobile.
- Protégez l'appareil mobile par un mot de passe ou par reconnaissance d'empreintes digitales et ne le déverrouillez pas pendant le chargement.
- Utiliser des technologies de cryptage et des conteneurs sécurisés (isoler les données en utilisant des zones protégées sur l'appareil mobile)
- protéger les appareils mobiles ainsi que les PC et les Mac à l'aide d'une solution de sécurité.
Plus de détails sous https://blog.kaspersky.de
